那么您遵循了本文(或其他地方)提出的建议,并侦测到了某个攻击?首先,保持冷静。草率的行动将会造成比攻击者本可能带来的更大的危害。
指出正在发生的安全攻击是一个聪明的做法。您的反应将导致一系列后果。
如果您发现的攻击是物理上的,比如您发觉有人闯入了您家、您的办公室或是实验室。您应该报告当地有关部门。在实验室,您可能会发觉有人企图打开箱子或是重启计算机。根据您本身被赋予的权利及规章制度,您可以让他们停止,或者通知安全保卫人员。
如果您检测到某个本地用户在攻击,首先要做的是确认他就是您原本认为的那个人。检查他来自的站点。那个站点是否是他通常用来登录的那个?接着,使用非电子方式联系他。例如,打电话给他,或是到他办公室/家中。如果他承认了,您可要求他解释其理由或让他停止这么做。如果他不承认,并且对您所说莫名其妙,那么在这种情况下就需要进一步调查。
如果您检测到网络攻击,首先(如果可能的话)断开网络连接。如果是使用调制解调器连接的,拔掉调制解调器的电缆;如果是使用以太网连接的,拔掉以太网电缆。这将阻止其进一步的破坏,而且这会让他们以为是出了网络故障而非被检测到了。
如果您不能够断开网络连接(如果您的站点十分繁忙,或者您无法在物理上控制您的计算机),可以退而求其次,使用诸如tcp_wrapper 或是 ipfwadm 来拒绝来自入侵者站点的访问。
如果您不能够将所有来自该站点的人当作入侵者而拒绝,锁定那个用户的账户会有用。注意,锁定某个账户并不容易。您得记住清理 .rhosts 文件、FTP 访问、以及可能有后门的主机。
在您完成上述之一后(断开网络连接,拒绝来自他们站点的访问、和/或禁用他们的账户),您需要清除(kill)他们的用户进程并将他们登出。
在接下来的几分种里,您应该好好监视您的站点。因为攻击者会试着再回来。可能使用另一个不同的账户,和/或从另一个不同的网络地址。
那么您或是侦测到某个攻击已经发生,或是已经将那个恼人的攻击者关在系统之外(希望如此)。而后呢?
如果您能够确定攻击者通过什么方式进入您的系统,您应该填补该漏洞。例如,可能您会在日志中看到在该用户登录之前有一些 FTP 条目。则,禁用 FTP 服务并检查是否存在更新版本,或者上述列表中是否有该问题的修补方法。
检查您所有的日志文件,并浏览您的安全列表和网页以查看是否存在新的您能够修补的常见漏洞。您能够通过定期运行 Mandrakeupdate 找到有关您 Mandrakelinux 的安全补丁。
现有一个 GNU/Linux 安全核查项目。他们有系统地扫描所有用户区工具,并寻找可能的安全漏洞及溢出。源自他们的声明:
"我们在尝试对 GNU/Linux 资源系统性地核查,并期望它像 OpenBSD 一样安全。我们已经揭示(并修补)了某些问题,不过依旧欢迎更多的帮助。这一列表规模不小,并且对于一般安全讨论也是一个有用的资源。该列表的地址是:security-audit@ferret.lmh.ox.ac.uk。要订阅,请发送邮件到:security-audit-subscribe@ferret.lmh.ox.ac.uk "。
如果您没有将该攻击者关在外面,他们很可能会回来。不一定返回您的计算机,而会返回您网络上的某处。如果他们在运行数据包窥探器,他们获得访问其他本地计算机的胜算就很大。
首先应该评估破坏。什么已经被攻破?如果您正运行某个完整性检测器(诸如 Tripwire)您可以使用它来执行文件完整性检测,这应该会告诉您什么已经被攻破。如果没有,您应该查看您所有的重要数据。
由于 GNU/Linux 系统安装越来越简单,您可能会想要保存您的配置文件,擦除您的磁盘,重新安装,然后从备份恢复您用户的文件以及配置文件。这将保证您拥有一个全新的、干净的系统。如果您需要从被攻破的系统中备份文件,请特别注意每一个要恢复的二进制文件,因为他们可能会是入侵者安放的特洛伊木马。
定期备份对于安全而言是个好习惯。如果您的系统被攻破,您可以从备份中恢复需要的数据。当然,某些数据对攻击者也很重要。他们不仅会毁坏它,而且会窃取它,并复制一份副本;但至少您仍然拥有该数据。
在恢复被篡改的文件之前,您应该检查过去做的几个备份。入侵者很可能早就篡改了您的文件,而您却对这一篡改后的文件进行了成功的备份!
当然,关于备份中的安全问题还有许多。请确定您将它们保存在安全的地方。了解谁有接触它们的权限。如果某个攻击者能够接触到您的备份,他们就能在您毫无察觉的情况之下接触您所有的数据。
好,那么您将入侵者锁在外面,并恢复了您的系统。但是您并未圆满完成任务。虽然大多数入侵者没法被抓获,您还是应该举报。
您应该联系该攻击者用以侵入您系统的站点的管理员。您可以通过执行 whois 或通过 数据库得到联系方式。您可以将全部相关的日志文件条目、数据和时间通过电子邮件发送给他们。如果您发现任何其他能够鉴别该入侵者的东西,您也应该提到它们。发送了电子邮件之后,您应该(如果您想的话)随后拨一通电话。如果接下来那个管理员也发现了该攻击者,他们也就能够告诉用以侵入他们站点的那个站点的管理员,并依次下去。
狡猾的骇客常会使用许多中间系统,其中某些(或大部分)甚至都不知道他们已经被攻破。要想追寻到骇客的老家十分困难。礼貌地对待您要交谈的管理员能够让您从他们那里不断得到帮助。
您也应该提醒您隶属的每一个安全组织(诸如 CERT),以及 Mandrakesoft。